Dati sensibili di bambini disabili inviati via e-mail: scatta la multa

Un comune e una cooperativa sociale sanzionati per aver trasmesso informazioni personali di minori senza adeguate misure di sicurezza. Il Garante interviene con multe per un totale di 60 mila euro.

Il Garante per la protezione dei dati personali ha ammonito un istituto scolastico privato di Milano per una grave violazione della privacy studentesca: l’ente aveva divulgato dati sensibili relativi a un alunno con disabilità tramite una piattaforma online accessibile a genitori e personale non autorizzato. (Reg. UE 2016/679 e D.Lgs. 196/2003).
Il caso, emerso a seguito della segnalazione di una famiglia, ha portato l’Autorità a verificare le modalità di gestione delle informazioni scolastiche e sanitarie dei minori. Dalle indagini è risultato che l’istituto non aveva predisposto misure tecniche e organizzative adeguate per limitare l’accesso ai soli soggetti autorizzati, violando così i principi di riservatezza e protezione dei dati previsti dal Regolamento (UE) 2016/679 (GDPR).

Il provvedimento, che si è concluso con un formale ammonimento, ha lo scopo di ribadire l’importanza della sicurezza dei dati personali all’interno delle istituzioni educative, pubbliche e private. Il Garante ha ricordato che le scuole trattano in modo sistematico dati particolari — come quelli relativi alla salute o all’inclusione — e pertanto sono tenute a garantire la massima protezione, specie in ambienti digitali e condivisi.

Parallelamente, l’Autorità ha reso noto di aver comminato sanzioni complessive per 60.000 euro nei confronti di un Comune e di una cooperativa sociale, responsabili dell’invio di elenchi contenenti informazioni personali e sanitarie di minori con disabilità a destinatari non autorizzati, senza l’adozione di idonee misure di sicurezza informatica.
Nel dettaglio, le comunicazioni email includevano dati come il nome, la diagnosi, il tipo di disabilità e le ore di sostegno assegnate, configurando una violazione dei principi di liceità, minimizzazione e integrità del trattamento.

Il Garante ha richiamato le amministrazioni scolastiche e gli enti locali a una più rigorosa gestione dei dati sensibili, ricordando che la digitalizzazione dei processi non può mai prescindere da solide garanzie di sicurezza. Le scuole e i Comuni dovranno quindi adottare protocolli di protezione, formare il personale e verificare che le piattaforme utilizzate per la gestione degli studenti rispettino pienamente le prescrizioni del GDPR.

Le vicende descritte confermano che la protezione dei dati personali è oggi parte integrante della gestione amministrativa della scuola, al pari della contabilità o della sicurezza sul lavoro.
Ogni Dirigente scolastico, ai sensi dell’art. 29 del GDPR e dell’art. 2-quinquiesdecies del Codice Privacy, è tenuto a designare con atto formale i soggetti autorizzati al trattamento dei dati, predisporre procedure di accesso controllato e assicurare la formazione periodica del personale docente e ATA.

È altresì opportuno:

  • adottare un Regolamento interno sulla protezione dei dati, che disciplini l’uso delle piattaforme digitali e dei registri elettronici;

  • prevedere protocolli di cifratura o oscuramento dei dati sensibili nei documenti condivisi online;

  • verificare che i fornitori dei servizi informatici siano conformi agli standard del GDPR e contrattualizzati come responsabili del trattamento (art. 28);

  • aggiornare il Registro dei trattamenti e il DPIA (Data Protection Impact Assessment) nei casi di trattamenti sistematici o relativi a categorie particolari di dati.

«La tutela della dignità e della riservatezza dei minori — ha sottolineato l’Autorità — è un principio inviolabile che deve guidare ogni trattamento di dati personali, specialmente quando riguarda soggetti fragili o situazioni di disabilità».

La digitalizzazione dei processi scolastici, pur indispensabile, non esonera le scuole da una piena responsabilità nel trattamento dei dati.
Ogni atto, anche apparentemente banale — come l’invio di un’e-mail o la condivisione di un file — può integrare una violazione se non rispetta le misure di sicurezza adeguate.
La vigilanza del Garante conferma che il principio di accountability è oggi la vera linea di confine tra buona amministrazione e illecito amministrativo.